Publicité en cours de chargement...

Publicité en cours de chargement...

État de la menace informatique dans le secteur de la santé

12 nov. 2024 - 08:18,
Actualité - Mailis Paugam, DSIH
Illustration État de la menace informatique dans le secteur de la santé
La santé est un secteur vital où tout incident informatique peut engendrer des effets significatifs. Les services fournis peuvent alors être impactés en termes de disponibilité, d’intégrité, de confidentialité et de traçabilité, tandis que les données affectées peuvent être la source de dangers pour autrui. Le CERT-FR a publié, le 7 novembre dernier, un rapport intitulé « État de la menace informatique » qui présente, pour le secteur de la santé, les éléments de tendance ainsi que l’évolution de la menace depuis 2020, année marquée par le Covid 19, jusqu’en 2024.

Contexte et méthodologie
En raison de l’importance cruciale du secteur de la santé, les entités qui le composent sont soumises à un cadre législatif bien particulier variant en fonction de leur nature et de leurs activités. L’Anssi (Agence nationale de la sécurité des systèmes d’information) s’est basée sur des textes de législation non spécifique (RGPD, REC, LPM…) et spécifique (EHDS, Code de la santé publique…) pour l’analyse des différents risques auxquels il est exposé. Bien que le secteur soit soumis à des lois spécifiques, plusieurs types généraux de menaces – à finalité lucrative, d’espionnage et de déstabilisation – sont exposés.

Menaces à finalité lucrative
Les menaces à finalité lucrative représentent le principal défi que doit relever le secteur de la santé. Elles prennent diverses formes telles que les rançongiciels, l’exfiltration de données pour revente et les compromissions pour fraude. Depuis 2020, bien que le secteur ne soit pas une cible spécifique, les attaques opportunistes ont augmenté. Les rançongiciels causent souvent l’indisponibilité des services, impactent la réputation, ont des conséquences légales et accroissent les risques pour la sécurité des patients. En 2022-2023, l’Anssi a noté 30 incidents majeurs ayant affecté des établissements de santé. Les laboratoires et les prestataires de services de santé sont particulièrement vulnérables, subissant des perturbations opérationnelles et des fuites de données. Les prestataires de services de paiement sont aussi touchés, avec des conséquences financières importantes. Des documents ou des produits médicaux frauduleux peuvent être distribués à travers des sites Internet douteux ou à la suite de cyberattaques contre des entités du secteur de la santé. Les attaques peuvent aussi viser les données de paiement ou les capitaux des patients d’établissements de santé victimes d’usurpation.

Menaces à finalité d’espionnage
Les entités du secteur de la santé sont ciblées par des opérateurs d’espionnage informatique pour le compte d’États afin d’obtenir des données personnelles et médicales. La pandémie de Covid-19 a intensifié ces activités, notamment pour compenser des retards de recherche. Divers groupes étatiques (Iran, Russie, Chine, Corée du Nord) ont ciblé la recherche sur le Covid-19, les vaccins et les traitements. L’hameçonnage et l’exploitation de vulnérabilités sont utilisés pour accéder aux données sensibles, souvent dans le cadre d’opérations plus larges. Par exemple, en 2020, des attaquants chinois ont exfiltré des données de centres de recherche médicale en Espagne. Les entités de santé peuvent aussi être ciblées par des campagnes d’espionnage visant plusieurs secteurs pour obtenir des accès non autorisés à des systèmes d’information. Entre janvier et mars 2020, le groupe chinois APT41 a ciblé des entités pharmaceutiques en exploitant des vulnérabilités. En 2023, le groupe nord-coréen Lazarus a compromis des entités de santé via une vulnérabilité dans la solution ServiceDesk de ManageEngine.

Menaces à finalité de déstabilisation
Les attaques informatiques destinées à déstabiliser le secteur de la santé sont souvent menées par des groupes hacktivistes. Elles incluent des attaques DDoS, des défigurations de sites Web et des exfiltrations de données, souvent en lien avec des événements nationaux ou internationaux. Pendant la crise sanitaire du Covid-19, des groupes ont ciblé des entités du secteur pour dénoncer la mauvaise gestion de la pandémie. Les attaques DDoS peuvent perturber des services de santé essentiels.

Des actions de déstabilisation peuvent également être menées par des opérateurs soutenus par des États ou opposants au régime en place. Par exemple, en juin 2023, des sites d’hôpitaux français ont été touchés par une attaque DDoS revendiquée par le groupe Anonymous Sudan à la suite de la mort de Nahel Merzouk, tué par un policier à Nanterre. En mai 2020, le groupe DigitalSp4ce a divulgué les résultats médicaux de l’ancien président brésilien Jair Bolsonaro. En décembre 2020, l’Agence européenne du médicament a subi une fuite de données attribuée à des opérateurs potentiellement russes et le groupe hacktiviste indonésien Infinite Insight serait à l’origine, en octobre 2023, de la publication des données de près de 800 000 médecins nord-américains pour dénoncer le soutien des États-Unis à Israël. Les entités du secteur peuvent aussi subir des sabotages utilisant de faux rançongiciels.

Les principaux acteurs visés
Les menaces qui pèsent sur le périmètre du secteur de la santé sont classées en plusieurs catégories, allant des acteurs qui occupent un rôle stratégique dans le pilotage et le financement du système de santé (ANS, ministère de la Santé…) aux prestataires de soins ayant un contact direct avec le patient dans le cadre de la prévention ou du diagnostic, en passant par les industriels de produits de santé ainsi que les fournisseurs ou les prestataires du secteur de la santé.

À lire aussi : Secteur de la santé : qui est concerné par NIS 2 ?

Les contraintes structurelles identifiées
Le secteur de la santé est critique et doit respecter des impératifs stricts de disponibilité, de confidentialité et d’intégrité des systèmes d’information (SI). Les cyberattaques peuvent gravement perturber les soins et augmenter le taux de mortalité. En France, le secteur est fragmenté et numérisé, ce qui le rend vulnérable. Entre janvier 2022 et décembre 2023, 86 % des incidents signalés à l’Anssi concernaient des établissements de santé. Les incidents résultent de compromissions de comptes de messagerie, de rançongiciels et de comportements à risque des utilisateurs. Si les établissements de santé dépendent de SI complexes et souvent non résilients, les incidents affectent particulièrement les services critiques comme la réanimation et la pharmacie. Des budgets limités, des difficultés de maintenance et de mauvaises pratiques de sécurité constituent autant de contraintes structurelles identifiées. L’Anssi cite également le risque que représentent les dispositifs médicaux connectés qui, souvent obsolètes et à défaut de mise à jour, peuvent être exploités par des attaquants. Face à ce constat, plusieurs actions ont été mises en place depuis 2020 pour améliorer la cybersécurité, comme les programmes France Relance et CaRE.

Recommandations et axes d’amélioration
Par ailleurs, l’Anssi souligne l’importance, en particulier pour les établissements de santé, d’inclure le RSSI dans tous les projets à dimension informatique et de promouvoir la collaboration entre le personnel de cybersécurité, le personnel IT et les ingénieurs biomédicaux. Cette synergie vise à renforcer la compréhension des systèmes d’information utilisés, à faciliter leur sécurisation et à garantir une réponse efficace en cas d’incident informatique. De plus, l’application des recommandations du document produit par l’Anssi doit reposer sur une démarche itérative d’amélioration continue, en priorisant les risques les plus élevés pour l’entité. Il est conseillé de commencer par un état des lieux de son système d’information, la sensibilisation du personnel et la mise en place de mécanismes de résilience avant de déployer des mesures de protection et de défense pour assurer une meilleure gestion des risques.

Rédaction

DSIH propose réflexions prospectives et retours d’expérience, chroniques d’experts et présentations d’études, à un lectorat très précisément ciblé en raison de son implication dans le développement de la e-santé et des SIS, du DSI à l’ingénieur biomédical en passant par les managers, acheteurs et cadres de santé.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Illustration Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Illustration Fraudes cyber : l’incurie du système bancaire mainstream

Fraudes cyber : l’incurie du système bancaire mainstream

04 nov. 2024 - 22:22,

Tribune

-
Cédric Cartau

Il est de ces arrêts de la Cour de cassation qu’en première lecture on trouve étrange – mais quel raisonnement a bien pu mener à un tel résultat ? – mais qu’en seconde lecture et après réflexion, on se demande pourquoi un tel jugement n’a pas été rendu plus tôt, beaucoup plus tôt.

Illustration L’extraterritorialité sonne-t-elle le glas de la cyber ?

L’extraterritorialité sonne-t-elle le glas de la cyber ?

12 nov. 2024 - 08:31,

Tribune

- Cédric Cartau

Que Google vienne de se prendre une prune de 2,4 milliards d’euros dans l’affaire Foundem, somme toute, c’est « business as usual ». Le géant est habitué à ce genre de procès et aux amendes qui en résultent ; il a certainement un (gros) bas de laine pour faire face aux échéances. En 2022, c’est l’UE...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.